Beruflich Dokumente
Kultur Dokumente
ADMINISTRATIVA, PROCEDIMIENTOS E
IMPULSO DE LA ADMINISTRACIÓN
ADMINISTRACI
ELECTRÓNICA
Índice
1 Introducción ....................................................................................................................... 3
2 Objetivos ............................................................................................................................ 4
3 Incidencias conocidas del núcleo del cliente @firma ..................................................... 5
3.1 Incidencias generales ......................................................................................................................... 5
3.2 Despliegue del Cliente ........................................................................................................................ 16
3.3 Firmas Generales ................................................................................................................................ 20
3.4 Incidencias específicas de la plataforma Windows ........................................................................ 21
3.5 Incidencias específicas de la plataforma Apple OS X..................................................................... 23
3.6 Incidencias específicas de las firmas PDF ....................................................................................... 26
3.7 Incidencias específicas de las firmas XML ...................................................................................... 26
4 Glosario de términos ......................................................................................................... 28
Creative Commons .......................................................................................................................... 31
1 Introducción
El Cliente de Firma es una herramienta de Firma Electrónica que funciona en forma de Applet de
Java integrado en una página Web mediante JavaScript.
El Cliente hace uso de los certificados digitales X.509 y de las claves privadas asociadas a los
mismos que estén instalados en el repositorio o almacén de claves y certificados (keystore) del
navegador web (Internet Explorer, Mozilla, Firefox) o el sistema operativo así como de los que
estén en dispositivos (tarjetas inteligentes, dispositivos USB) configurados en el mismo (el caso de
los DNI-e).
El Cliente de Firma, como su nombre indica, es una aplicación que se ejecuta en cliente (en el
ordenador del usuario, no en el servidor Web). Esto es así para evitar que la clave privada
asociada a un certificado tenga que “salir” del contenedor del usuario (tarjeta, dispositivo USB o
navegador) ubicado en su PC. De hecho, nunca llega a salir del navegador, el Cliente le envía los
datos a firmar y éste los devuelve firmados.
El Cliente de Firma contiene las interfaces y componentes web necesarios para la realización de
los siguientes procesos (además de otros auxiliares como cálculos de hash, lectura de ficheros,
etc…):
• Firma de datos y ficheros.
• Multifirma masiva de datos y ficheros.
• Cofirma (CoSignature) Multifirma al mismo nivel.
• Contrafirma (CounterSignature) Multifirma en cascada.
Como complemento al cliente de firma, se encuentra un cliente de cifrado que nos permite realizar
las funciones de encriptación y desencriptación de datos atendiendo a diferentes algoritmos y
configuraciones. Además permite la generación de sobres digitales.
2 Objetivos
El objetivo del presente documento es enumerar las dificultades típicas que pueden encontrar los
integradores o sus usuarios durante la instalación, despliegue, integración o uso del Cliente
@firma, así como las vías de resolución o paliación de estas.
2) Descargue los controladores más actuales, para ello acceda a la página Web de CamerFirma
(http://www.camerfirma.es), entre en el Área de Usuario / Área de Descargas y ahí seleccione
el Kit De Descargas. Pulse en “Descargar”, seleccionando entonces el “Kit De CamerFirma”
correspondiente a su modelo “Bit4Id” y ejecute el programa de instalación descargado. Una
vez finalizada la instalación, reinicie el equipo.
El Cliente @firma puede no funcionar cuando alguna de las bibliotecas que usa han sido
instaladas como extensiones del JRE. Para restaurar el funcionamiento normal del JRE debe
seguir los siguientes pasos:
1. Localizar el directorio de extensiones de su entorno de ejecución de Java
• La opción más común es el directorio lib/ext dentro de la carpeta de instalación del
JRE
• Debe también revisar las carpetas de extensiones comunes:
- /usr/jdk/packages/lib/ext en Sun Solaris y OpenSolaris
- /usr/java/packages/lib/ext en Linux
- %SystemRoot%\Sun\Java\lib\ext en Microsoft Windows
2. Eliminar las siguientes bibliotecas:
• BouncyCastle
- bcprov*.jar
- bcmail*.jar
- bctsp*.jar
- bcpq*.jar
• JXAdES
• iText
- iText*.jar
• Apache Commons
• Apache Oro
• JMIMEMagic
3. Notificar al proveedor de la aplicación que instaló inapropiadamente bibliotecas como
extensiones para que corrija este comportamiento en sus aplicativos.
Puede encontrar una pequeña guía sobre el uso e instalación de extensiones al entorno de
ejecución de Java en: http://download.oracle.com/javase/tutorial/ext/basics/install.html
Cuando utilizo varias tarjetas inteligentes de firma electrónica y/o varios lectores
de tarjetas inteligentes a veces no se muestran todos los certificados.
El Cliente @firma inicializa durante la primera operación criptográfica las tarjetas inteligentes
encontradas en el sistema, y supone que no va a variar durante toda la ejecución del programa.
El insertar o extraer tarjetas durante la ejecución del programa puede ocasionar fallos ocasionales.
No inserte o extraiga tarjetas mientras el Cliente @firma esté en ejecución.
Adicionalmente, es conveniente tener insertada únicamente la tarjeta que desea usar para realizar
las operaciones de firma. Si dos tarjetas del mismo tipo (que usen el mismo controlador PKCS#11)
están insertadas, el Cliente @firma utilizará únicamente la insertada en el primer lector encontrado
en el sistema.
Una solución alternativa en sistemas basados en UNIX (Linux, Solaris, Mac OS X) es modificar la
configuración de OpenSC (producto en el que se basa el controlador PKCS#11 del DNIe en estas
plataformas indicando que nunca se debe bloquear el acceso a las tarjetas inteligentes.
Para realizar esta indicación debe modificar el archivo de configuración de OpenSC, normalmente
situado en /etc/opensc/opensc.conf y asegurarse de que contiene una línea descomentada
con la opción lock_login = false; :
Dado que este cambio puede tener implicaciones de seguridad con otras tarjetas inteligentes (la
seguridad del DNIe no se ve comprometida por él, dado que implementa medidas adicionales de
protección, como la implementación de la normativa CWA-14890), realice únicamente estas
modificaciones si está completamente seguro de sus implicaciones.
En ciertas distribuciones de Linux (como Guadalinex v6) el cambio no tienen ningún efecto sobre
los bloqueos con DNIe, por lo que no solucionará el problema).
En algunas ocasiones, se ha detectado que este cambio en la configuración de OpenSC afecta a
la comunicación con la tarjeta inteligente, provocando que el PIN de la tarjeta llegue corrupto.
Asegúrese de introducir correctamente el PIN de su tarjeta y, en caso de que vuelva a solicitarse,
cancele la operación y deshaga el cambio en la configuración para evitar que repetidos intentos
bloqueen su DNIe.
La Web donde está deplegado el Cliente solicita certificado cliente, y aunque este
funciona correctamente en Internet Explorer y otros navegadores, no ocurre lo
mismo con Mozilla / Firefox
Consulte el apartado “Despliegue del cliente en servidores Web que requieren identificación de los
usuarios mediante certificado cliente” del manual del integrador para más información de cómo
resolver este problema de configuración de Mozilla / Firefox.
En la incidencia “No es posible realizar firmas de más de 4MB” podrá encontrar alternativas que
pueden evitar que le surja este problema.
/*******************************************************************************
* Ruta a los instalables. *
* Si no se establece, supone que estan en el mismo directorio (que el HTML). *
******************************************************************************/
var baseDownloadURL = http://direccion/directorio_clases;
/*******************************************************************************
* Ruta al instalador. *
* Si no se establece, supone que estan en el mismo directorio (que el HTML). *
******************************************************************************/
var base = http://direccion/directorio_clases;
En caso de duda, consulte con el emisor de los certificados de su sitio Web SSL para obtener los
certificados raíz y ampliar estas instrucciones de instalación.
Este problema, que si bien puede darse en cualquier versión de Windows es más común en
Windows XP, no tiene solución, y se debe a una incompatibilidad de Java con los controladores
CAPI de Windows instalados en el sistema del usuario (por ejemplo, los controladores de FNMT-
RCM).
Pruebe a actualizar tanto en entorno de ejecución de Java como los posibles controladores de
tarjetas que tenga instalados a la última versión disponible.
Si el problema se da únicamente al intentar firmar con una tarjeta inteligente o un almacén de
claves distinto del central de Windows, abra una incidencia contra el proveedor de este
hardware/software de almacén de claves.
El Cliente no permite acceder a los almacenes de certificados con Java 6 (64 bits)
El entorno de ejecución de Java 6 de 64 bits no incorpora las bibliotecas necesarias para el
acceso a los almacenes de Windows y Mozilla. Estas bibliotecas tratan de instalarse durante el
proceso de carga del Cliente pero, en sistemas con permisos restringidos, no será posible.
El Cliente deja de funcionar por completo cuando estoy utilizándolo a la vez que
una aplicación nativa Windows que hace uso de una tarjeta inteligente
Algunas aplicaciones nativas de Windows que hacen uso de tarjetas inteligentes como el DNIe
(aplicación de escritorio, controles ActiveX en páginas Web de Internet Explorer…) interfieren en
el funcionamiento de las bibliotecas SunMSCAPI de Java para el uso de los certificados del
sistema operativo. Esta interferencia provoca que cualquier intento de una aplicación Java de
acceder al almacén de certificados de Windows cuando se tiene insertada la tarjeta inteligente en
el lector mientras la otra aplicación esté también ejecutándose, genere un error interno en la
máquina virtual de Java que cierra instantáneamente la aplicación afectada.
Este es un problema generado por aplicaciones nativas Windows que acceden a CAPI por
medios no recomendados y por defectos de la biblioteca SunMSCAPI, encargada del acceso al
almacén de certificados de Windows, que no puede ser tratado, que impiden operar cuando se
realizan estos accesos no recomendados.
En general, debe intentar evitarse la situación en donde una aplicación utilice una tarjeta
inteligente a la vez que se usa el cliente de firma. Para hacerlo, conviene separar el uso de las dos
aplicaciones que acceden a la tarjeta mediante la extracción y reinserción de la misma en el lector
o simplemente cerrando el resto de las aplicaciones mientras se usa una de ellas.
Si llegase a producirse este error, es posible que necesite cerrar la aplicación Windows que
produce la incompatibilidad y reiniciar la aplicación (página Web) que integra el cliente @firma.
Para conseguir que el MiniApplet tenga acceso no restringido al sistema de ficheros del usuario es
necesario que este configure Safari para habilitar el “Modo Inseguro” para el sitio Web en concreto
que publique el MiniApplet.
Para ello, siga las indicaciones de Apple, que puede encontrar aquí:
http://support.apple.com/kb/HT5954
Compruebe que el XML que desea firmar declara las hojas de estilo mediante alguno de los
modos soportado.
4 Glosario de términos
Firma electrónica
Es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los
autores del documento que la recoge.
XML Digital Signature (XMLDSig)
Es una recomendación del W3C que define una sintaxis XML para la firma digital
XML Advanced Signature (XAdES)
Es un conjunto de extensiones a las recomendaciones XML-DSig haciéndolas adecuadas para la
firma electrónica avanzada.
RSA
Es un sistema criptográfico de clave pública desarrollado en 1977. En la actualidad, RSA es el
primer y más utilizado algoritmo de este tipo y es válido tanto para cifrar como para firmar
digitalmente.
XML
Es un metalenguaje extensible de etiquetas desarrollado por el World Wide Web Consortium
(W3C). Es una simplificación y adaptación del SGML y permite definir la gramática de lenguajes
específicos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo
tanto XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para
diferentes necesidades. Algunos de estos lenguajes que usan XML para su definición son XHTML,
SVG, MathML.
Office Open XML (OOXML)
Es un formato de archivo abierto y estándar cuyas extensiones más comunes son .docx, .xlsx y
.pptx. Se le utiliza para representar y almacenar hojas de cálculo, diagramas, presentaciones y
documentos de texto. Un archivo Office Open XML contiene principalmente datos basados en el
lenguaje de marcado XML, comprimidos en un contenedor .zip específico.
Open Document Format (ODF)
Es un formato de fichero estándar para el almacenamiento de documentos ofimáticos tales como
hojas de cálculo, memorandos, gráficas y presentaciones. Aunque las especificaciones fueron
inicialmente elaboradas por Sun, el estándar fue desarrollado por el comité técnico para Open
Office XML de la organización OASIS y está basado en un esquema XML inicialmente creado e
implementado por la suite ofimática OpenOffice.org (ver OpenOffice.org XML).
ZIP
Es un formato de almacenamiento sin pérdida, muy utilizado para la compresión de datos como
imágenes, programas o documentos.
PDF
Es un formato de almacenamiento de documentos, desarrollado por la empresa Adobe Systems.
Este formato es de tipo compuesto (imagen vectorial, mapa de bits y texto).
SHA
Es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional
de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST).
El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo,
hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años
más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro
variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño
algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512
(llamándose SHA-2 a todos ellos).
PKCS
Se refiere a un grupo de estándares de criptografía de clave pública concebidos y publicados por
los laboratorios de RSA en California. A RSA Security se le asignaron los derechos de
licenciamiento para la patente de algoritmo de clave asimétrica RSA y adquirió los derechos de
licenciamiento para muchas otras patentes de claves.
W3C
Es un consorcio internacional que produce recomendaciones para la World Wide Web. Está
dirigida por Tim Berners-Lee, el creador original de URL (Uniform Resource Locator, Localizador
Uniforme de Recursos), HTTP (HyperText Transfer Protocol, Protocolo de Transferencia de
HiperTexto) y HTML (Lenguaje de Marcado de HiperTexto) que son las principales tecnologías
sobre las que se basa la Web.
OpenOffice.org
es una suite ofimática libre (código abierto y distribución gratuita) que incluye herramientas como
procesador de textos, hoja de cálculo, presentaciones, herramientas para el dibujo vectorial y base
de datos. Está disponible para varias plataformas, tales como Microsoft Windows, GNU/Linux,
BSD, Solaris y Mac OS X. Soporta numerosos formatos de archivo, incluyendo como
predeterminado el formato estándar ISO/IEC OpenDocument (ODF), entre otros formatos
comunes. A febrero de 2010, OpenOffice soporta más de 110 idiomas.
Base64
Es un sistema de numeración posicional que usa 64 como base. Es la mayor potencia de dos que
puede ser representada usando únicamente los caracteres imprimibles de ASCII. Esto ha
propiciado su uso para codificación de correos electrónicos, PGP y otras aplicaciones. Todas las
variantes famosas que se conocen con el nombre de Base64 usan el rango de caracteres A-Z, a-z
y 0-9 en este orden para los primeros 62 dígitos, pero los símbolos escogidos para los últimos dos
dígitos varían considerablemente de unas a otras. Otros métodos de codificación como UUEncode
y las últimas versiones de binhex usan un conjunto diferente de 64 caracteres para representar 6
dígitos binarios, pero éstos nunca son llamados Base64.
ASN.1
Es una norma para representar datos independientemente de la máquina que se esté usando y
sus formas de representación internas. Es un protocolo de nivel de presentación en el modelo
OSI.
Creative Commons
Reconocimiento-NoComercial
NoComercial-CompartirIgual 3.0 Unported
Entendiendo que:
Renuncia — Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del
titular de los
os derechos de autor
Dominio Público — Cuando la obra o alguno de sus elementos se hallen en el dominio
público según la ley vigente aplicable, esta situación no quedará afectada por la licencia.
Otros derechos — Los derechos siguientes no quedan afectados
afectados por la licencia de ninguna
manera:
• Los derechos derivados de usos legítimos u otras limitaciones reconocidas por ley no
se ven afectados por lo anterior.
• Los derechos morales del auto;
• Derechos que pueden ostentar otras personas sobre la propia obra o su uso, como por
ejemplo derechos de imagen o de privacidad.
Aviso — Al reutilizar o distribuir la obra, tiene que dejar muy en claro los términos de la
licencia de esta obra. La mejor forma de hacerlo es enlazar a esta página.
Licencia
1. Definiciones
a. La obra es la creación literaria, artística o científica ofrecida bajo los términos de esta
licencia.
b. En esta licencia se considera una prestación cualquier interpretación, ejecución,
fonograma, grabación audiovisual, emisión o transmisión, mera fotografía u otros objetos
protegidos por la legislación de propiedad intelectual vigente aplicable.
c. La aplicación de esta licencia a una colección (definida más adelante) afectará únicamente
a su estructura en cuanto forma de expresión de la selección o disposición de sus
contenidos, no siendo extensiva a éstos. En este caso la colección tendrá la consideración
de obra a efectos de esta licencia.
d. El titular originario es:
a. En el caso de una obra literaria, artística o científica, la persona natural o grupo de
personas que creó la obra.
b. En el caso de una obra colectiva, la persona que la edite y divulgue bajo su nombre,
salvo pacto contrario.
c. En el caso de una interpretación o ejecución, el actor, cantante, músico, o cualquier otra
persona que represente, cante, lea, recite, interprete o ejecute en cualquier forma una
obra.
d. En el caso de un fonograma, el productor fonográfico, es decir, la persona natural o
jurídica bajo cuya iniciativa y responsabilidad se realiza por primera vez una fijación
exclusivamente sonora de la ejecución de una obra o de otros sonidos.
e. En el caso de una grabación audiovisual, el productor de la grabación, es decir, la
persona natural o jurídica que tenga la iniciativa y asuma la responsabilidad de las
fijaciones de un plano o secuencia de imágenes, con o sin sonido.
f. En el caso de una emisión o una transmisión, la entidad de radiodifusión.
g. En el caso de una mera fotografía, aquella persona que la haya realizado.
2. Límites de los derechos. Nada en esta licencia pretende reducir o restringir cualesquiera
límites legales de los derechos exclusivos del titular de los derechos de propiedad intelectual de
acuerdo con la Ley de propiedad intelectual o cualesquiera otras leyes aplicables, ya sean
derivados de usos legítimos, tales como la copia privada o la cita, u otras limitaciones como la
resultante de la primera venta de ejemplares (agotamiento).
y/o crea una obra derivada, deberá quitar cualquier crédito requerido en el apartado 4.b, en
la medida de lo posible.
b. Si usted reproduce, distribuye o comunica públicamente la obra o la prestación, una
colección que la incorpore o cualquier obra derivada, debe mantener intactos todos los
avisos sobre la propiedad intelectual e indicar, de manera razonable conforme al medio o a
los medios que usted esté utilizando:
i. El nombre del autor original, o el seudónimo si es el caso, así como el del titular
originario, si le es facilitado.
ii. El nombre de aquellas partes (por ejemplo: institución, publicación, revista) que el titular
originario y/o el licenciador designen para ser reconocidos en el aviso legal, las
condiciones de uso, o de cualquier otra manera razonable.
iii. El título de la obra o la prestación si le es facilitado.
iv. El URI, si existe, que el licenciador especifique para ser vinculado a la obra o la
prestación, a menos que tal URI no se refiera al aviso legal o a la información sobre la
licencia de la obra o la prestación.
v. En el caso de una obra derivada, un aviso que identifique la transformación de la obra
en la obra derivada (p. ej., "traducción castellana de la obra de Autor Original," o "guión
basado en obra original de Autor Original").
Este reconocimiento debe hacerse de manera razonable. En el caso de una obra derivada o
incorporación en una colección estos créditos deberán aparecer como mínimo en el mismo
lugar donde se hallen los correspondientes a otros autores o titulares y de forma comparable
a los mismos. Para evitar la duda, los créditos requeridos en esta sección sólo serán
utilizados a efectos de atribución de la obra o la prestación en la manera especificada
anteriormente. Sin un permiso previo por escrito, usted no puede afirmar ni dar a entender
implícitamente ni explícitamente ninguna conexión, patrocinio o aprobación por parte del
titular originario, el licenciador y/o las partes reconocidas hacia usted o hacia el uso que
hace de la obra o la prestación.
c. Para evitar cualquier duda, debe hacerse notar que las restricciones anteriores (párrafos 4.a
y 4.b) no son de aplicación a aquellas partes de la obra o la prestación objeto de esta
licencia que únicamente puedan ser protegidas mediante el derecho sui generis sobre bases
de datos recogido por la ley nacional vigente implementando la directiva europea de bases
de datos
5. Exoneración de responsabilidad
A MENOS QUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR
OFRECE LA OBRA O LA PRESTACIÓN TAL CUAL (ON AN "AS-IS" BASIS) Y NO CONFIERE
NINGUNA GARANTÍA DE CUALQUIER TIPO RESPECTO DE LA OBRA O LA PRESTACIÓN O
DE LA PRESENCIA O AUSENCIA DE ERRORES QUE PUEDAN O NO SER DESCUBIERTOS.
ALGUNAS JURISDICCIONES NO PERMITEN LA EXCLUSIÓN DE TALES GARANTÍAS, POR LO
QUE TAL EXCLUSIÓN PUEDE NO SER DE APLICACIÓN A USTED.
7. Finalización de la licencia
a. Esta licencia y la concesión de los derechos que contiene terminarán automáticamente en
caso de cualquier incumplimiento de los términos de la misma. Las personas o entidades
que hayan recibido de usted obras derivadas o colecciones bajo esta licencia, sin embargo,
no verán sus licencias finalizadas, siempre que tales personas o entidades se mantengan en
el cumplimiento íntegro de esta licencia. Las secciones 1, 2, 5, 6, 7 y 8 permanecerán
vigentes pese a cualquier finalización de esta licencia.
b. Conforme a las condiciones y términos anteriores, la concesión de derechos de esta licencia
es vigente por todo el plazo de protección de los derechos de propiedad intelectual según la
ley aplicable. A pesar de lo anterior, el licenciador se reserva el derecho a divulgar o publicar
la obra o la prestación en condiciones distintas a las presentes, o de retirar la obra o la
prestación en cualquier momento. No obstante, ello no supondrá dar por concluida esta
licencia (o cualquier otra licencia que haya sido concedida, o sea necesario ser concedida,
bajo los términos de esta licencia), que continuará vigente y con efectos completos a no ser
que haya finalizado conforme a lo establecido anteriormente, sin perjuicio del derecho moral
de arrepentimiento en los términos reconocidos por la ley de propiedad intelectual aplicable.
8. Miscelánea
a. Cada vez que usted realice cualquier tipo de explotación de la obra o la prestación, o de una
colección que la incorpore, el licenciador ofrece a los terceros y sucesivos licenciatarios la
concesión de derechos sobre la obra o la prestación en las mismas condiciones y términos
que la licencia concedida a usted.
b. Cada vez que usted realice cualquier tipo de explotación de una obra derivada, el licenciador
ofrece a los terceros y sucesivos licenciatarios la concesión de derechos sobre la obra
objeto de esta licencia en las mismas condiciones y términos que la licencia concedida a
usted.
c. Si alguna disposición de esta licencia resulta inválida o inaplicable según la Ley vigente, ello
no afectará la validez o aplicabilidad del resto de los términos de esta licencia y, sin ninguna
acción adicional por cualquiera las partes de este acuerdo, tal disposición se entenderá
reformada en lo estrictamente necesario para hacer que tal disposición sea válida y
ejecutiva.
d. No se entenderá que existe renuncia respecto de algún término o disposición de esta
licencia, ni que se consiente violación alguna de la misma, a menos que tal renuncia o
consentimiento figure por escrito y lleve la firma de la parte que renuncie o consienta.
e. Esta licencia constituye el acuerdo pleno entre las partes con respecto a la obra o la
prestación objeto de la licencia. No caben interpretaciones, acuerdos o condiciones con
respecto a la obra o la prestación que no se encuentren expresamente especificados en la
presente licencia. El licenciador no estará obligado por ninguna disposición complementaria
que pueda aparecer en cualquier comunicación que le haga llegar usted. Esta licencia no se
puede modificar sin el mutuo acuerdo por escrito entre el licenciador y usted.